指南|《数据安全法》生效在即,政企事业单位应重点关注的问题及实施策略
01
政企事业单位应重点关注的
10大问题
● 确立数据安全相关制度规范,让数据安全管理工作有据可依,有章可循。
● 进行组织建设,明确数据安全责任人及具体责任要求。
● 落实数据分类分级保护,了解数据资产分布,明确数据资产构成、特征、范围及流转情况,利用数据分级目录重点保护重要数据。
● 开展数据安全风险评估工作,厘清组织自身的数据安全风险和数据安全能力目标差距。
● 以数据为中心,建立健全全生命周期安全能力,加强数据流动安全保护,针对数据流动路径进行安全建设,确保数据依法有序流动。
● 明确是否存在数据出境问题,建立数据出境管理制度。
● 增强员工数据安全意识,定期开展数据安全教育培训。
● 制定应急响应预案,做好监测预警及安全事件的应急响应。
● 关注所在行业相关规范制度的制定。
● 采取符合国家安全标准的技术措施。
02
建立健全数据安全治理体系做好
4大步骤
(1) 数据安全管理保障
(2) 数据安全基础支撑保障
(3) 数据安全技术保障
(4) 数据安全建设运营保障
步骤一
● 明现状:结合专业安全厂商进行数据安全咨询;识别与梳理重要数据,落地数据分类分级保护;结合行业重要数据目录管理数据;开展数据安全风险评估。
● 订规划:结合数据安全管理、技术现状进行短期、长期安全建设路径规划。
● 立组织:建立数据安全组织框架;开展数据安全教育培训,对内提升组织能力,对外促进数据安全专业人才发展。
● 定制度:以数据安全发展全局视角做好数据安全战略保障的制度建设。
● 建标准:共建共创数据安全技术与能力,制定数据安全相关标准。
步骤二
关注安全技术最新发展,做好数据安全基础支撑保障
● 企事业单位应全面认知新技术、新需求和新场景给数据安全防护带来全新挑战,转变过去“被动防御”的传统安全思维,以数据为中心持续优化数据安全架构,通过输出各项数据安全产品能力,实现主动化、立体化防护。
步骤三
基于数据全生命周期,做好数据安全技术保障
● 建立覆盖数据采集、传输、存储、处理、交换、销毁全生命周期安全防护体系,综合利用数据源验证、传输加密、加密存储、隐私保护、数据防泄漏、监管审计、追踪溯源、数据销毁等技术。
步骤四
数据安全管理与运营,做好数据安全建设运营保障
● 提升数据安全态势感知能力,加强数据安全风险信息的获取、分析、研判、预警工作;建立数据安全应急处置机制,加强数据安全风险监测。
03
政企事业单位安全建设过程涉及的
技术手段
数据全生命周期管控手段
● 数据采集:主要关注数据的采集源,需提前完成数据资产定性,梳理采集内容、采集方式、敏感信息等,并采用级访问控制技术实现对数据采集分析、使用人员授权的合规性管控。
● 数据传输:主要关注为对数据传输加密和防泄漏建设,需确定传输通道方式(SM1-SM4)、校验方式符合相关规范和所制定的传输策略,并且可监测相关通道的数据流量及通道状态。
● 数据存储:主要关注为存储保护能力建设,需梳理存储位置、存储方式、数据归档周期、数据分类、数据级别等,对入库数据进行安全审核并完成数据存储加密,确保数据存储安全,并制定数据的备份和恢复策略、存储保护措施。
● 数据处理:主要关注为对各业务系统的数据交换阶段所需的数据脱敏、数据加密进行管理,并遵循最小化权限原则,限定数据的使用范围,审计数据的操作过程。
● 数据交换:主要关注为对数据交换权限划分,需对相关数据应用申请进行安全审查,并且跟踪敏感数据的访问,对敏感数据进行脱敏并建立溯源能力,展示数据交换过程和内容,并对交换过程中异常数据进行监测分析。
● 数据销毁:主要关注为规范数据销毁操作流程,明确的销毁数据对象、销毁方法、销毁操作流程及销毁责任人;建立剩余敏感数据自动识别机制,确保应销毁的数据被完全销毁。
安全感知和风险监控
● 安全感知是未来组织数据安全建设中重要安全能力,是基于环境的、动态、整体洞察安全风险的能力。在该安全防护层次,以安全审计数据、风险数据、告警数据、运行数据、业务运行状态等为基础,从全局视角提升对安全威胁的发现识别、理解分析和相应处置能力,为安全决策提供支撑。
请输入标题
请输入标题